Του Νικολάου Ι. Γουσγούνη (συνεργάτη της SUCCESSKeys.GR)
Τι είναι το ISO/IEC 27001:2013
Το ISO/IEC 27001:2013 είναι ένα πρότυπο ασφάλειας πληροφοριών που καθορίζει τις απαιτήσεις για την εφαρμογή, την διατήρηση και τη βελτίωση ενός συστήματος διαχείρισης της ασφάλειας των πληροφοριών, μέσα σε μια εταιρία, το οποίο ασχολείται με την προστασία της πληροφορίας, δηλαδή την πρακτική αποτροπή μη εξουσιοδοτημένης πρόσβασης, χρήσης, αποκάλυψης, τροποποίησης, κλοπής ή καταστροφής μιας πληροφορίας.
Το ISO/IEC 27001:2013 δίνει κυρίως έμφαση στην απόδοση του συστήματος διαχείρισης της ασφάλειας των πληροφοριών στην εταιρία.
Έως σήμερα έχουν εκδοθεί και δύο διορθωτικά κείμενα (corrigendum).
Τα οφέλη για έναν οργανισμό
Τα σημαντικότερα οφέλη του ISO/IEC 27001:2013 για μια επιχείρηση είναι:
Αυξάνει την ασφάλεια σε μια επιχείρηση. Το ISO 27001:2013 παρέχει μέσα εξέτασης των κινδύνων για την ασφάλεια της πληροφορίας σε μια επιχείρηση και λαμβάνει υπόψη τις επιπτώσεις που μπορεί να έχουν αυτοί οι κίνδυνοι στην εταιρία.
Είναι ένα εργαλείο που βοηθά στην κατανόηση της πληροφορίας σε μια επιχείρηση, το που βρίσκεται αυτή η πληροφορία αλλά και πώς μπορεί να προστατευθεί. Με αυτόν τον τρόπο ελαχιστοποιούνται τα κόστη, που συνεπάγεται η απώλεια της πληροφορίας για μια επιχείρηση.
Η πιστοποίηση κατά ISO 27001 από μια εταιρία, έχει ως αποτέλεσμα την διάκρισή της από άλλες επιχειρήσεις αποδίδοντάς της ένα σημαντικό ανταγωνιστικό πλεονέκτημα.
Διασφαλίζει την πρόσβαση στην πληροφορία από εξουσιοδοτημένα άτομα και αποτελεί ένα μέσο βελτίωσης του συστήματος της ασφάλειας της πληροφορίας, αυξάνοντας με αυτόν τον τρόπο την εμπιστοσύνη και την αξιοπιστία για την εταιρία.
Τι περιλαμβάνει το πρότυπο
Τα κύρια κεφάλαια του διεθνούς προτύπου είναι:
Πλαίσιο του οργανισμού
Ηγεσία
Σχεδιασμός
Υποστήριξη
Λειτουργία
Αξιολόγηση της απόδοσης
Βελτίωση
Ένα παράδειγμα από την πράξη
Ας πάρουμε ένα παράδειγμα, για τους κινδύνους που υπάρχουν σε μια επιχείρηση, για μια πληροφορία, και πώς μπορεί να αντιμετωπιστούν.
Έστω ότι ένας εργαζόμενος αποφασίζει να κάνει ένα διάλειμμα αφήνοντας π.χ. τον φορητό υπολογιστή του ή εμπιστευτικά έγγραφα πάνω στο γραφείο του.
Και στις δύο περιπτώσεις υπάρχει ο κίνδυνος είτε της απώλειας ψηφιακών και μη ψηφιακών πληροφοριών είτε η πρόσβαση σε αυτή από μη εξουσιοδοτημένα άτομα.
Οι κίνδυνοι αυτοί μπορεί να αποτραπούν π.χ. με το να κλειδώνει ο εργαζόμενος τον υπολογιστή και τα έγγραφα σε ένα ντουλαπάκι ή/και να προστατεύει τα αρχεία του με ισχυρούς κωδικούς πρόσβασης (passwords).
Επίσης καλό θα ήταν να χρησιμοποιεί κανείς συσκευές όπως USB stick για backup ή/και UPS (μη διακοπτόμενη πηγή ενέργειας) έτσι ώστε να μην υπάρχει ο κίνδυνος απώλειας πληροφορίας ή καταστροφής του εξοπλισμού, δηλαδή του υπολογιστή, από εξωτερικούς παράγοντες όπως είναι η ξαφνική διακοπή ρεύματος.
Μη ξεχνάμε ωστόσο ότι τόσο τα USB sticks όσο και άλλες εξωτερικές πηγές αποθήκευσης αρχείων είναι δυνατόν να χαθούν. Μέσω κλειδώματος των αρχείων (με κωδικούς ασφαλείας), που αποθηκεύουμε σε αυτές τις συσκευές μπορούμε να προστατεύσουμε τα αρχεία μας από ανεπιθύμητη πρόσβαση.